Это ветка другого вопроса: Каков наилучший способ реализации "запомнить меня" для веб-сайта?
Главный ответ заключается в том, чтобы реализовать это: http://jaspan.com/improved_persistent_login_cookie_best_practice
Резюме:
Используйте случайное число как токен серии, а другой - как токен входа. Поместите их в файл cookie "Оставайтесь в системе" вместе с именем пользователя. Назначьте второй обычный cookie сеанса. Каждый раз, когда пользователь приходит без cookie сеанса, используйте cookie для входа в систему. Выдать новый, на этот раз с новым случайным логином входа, сохраняя серию Тоже же.
Зачем включать имя пользователя? Как это помогает? Тока серии должно быть достаточно, чтобы идентифицировать пользователя и серию. В этом подходе был добавлен Token Series Token, чтобы предотвратить DoS-атаку, когда злоумышленник просто догадывается обо всех именах пользователей и сразу же ударяет по сайту, выгружая всех. Но почему имеет смысл оставить имя пользователя вообще?